전국이 '들썩' DDoS, 2009년과 어떻게 다른가?

[아시아경제 김철현 기자]지난 3일부터 국내 40개 사이트를 대상으로 진행됐던 분산서비스거부(DDoS) 공격이 일단락됐다. 이번 공격은 청와대 등 국가 기관, 금융권 사이트, 네이버 등 접속자가 많은 주요 사이트를 노렸다는 점에서 지난 2009년 7월 DDoS 대란과 유사한 점이 많다. 하지만 당시에는 대규모 DDoS 공격에 대한 대응 체계가 갖춰지지 않은 상황에서 전국이 혼란에 빠졌지만 이번 공격에서는 방송통신위원회, 행정안전부, 한국인터넷진흥원, 국가정보원, 안철수연구소 등 민관이 공동으로 참여하는 대책반이 구성돼 피해를 최소화한 것으로 평가받고 있다.

◆같은 점=2009년에 이어 올해 다시 전국을 들썩이게 했던 분산서비스거부(Distribute Denial of Service) 공격은 여러 대의 컴퓨터가 동시에 특정 사이트에 접속하도록 해 해당 사이트를 마비시키고 시스템이 정상적으로 작동하지 못하게 하는 해킹수법이다. 보안이 취약한 PC들을 악성코드에 감염시켜 공격 대상 사이트에 동시에 접속하도록 하는 것이다. DDoS 공격을 유발하는 악성코드인 봇(BOT)은 윈도 취약점을 악용하거나 웹페이지에 숨겨둔 악성코드, 스팸메일 등을 통해 전파된다.

DDoS 공격은 주로 금전 등을 목적으로 중소사이트를 노리거나 정치적인 목적으로 사이트의 접속을 방해하는 사례가 많이 발견돼 왔는데 주요 공공기관을 비롯한 대형 사이트들이 동시에 공격 대상이 된 것은 2009년이 처음이었다. 2009년과 올해 공격이 유사한 점은 또 있다. 당시에도 하드디스크를 파괴하는 기능이 좀비PC에 업데이트 됐고 이번에도 하드디스크를 즉시 파괴하는 기능이 명령 서버를 통해 전해져 7일 9시까지 총 114건의 하드 파괴가 신고됐다. 안철수연구소 등을 통해 공격 시간과 대상이 분석돼 발표된 것도 2009년과 유사한 점이다.

◆다른 점=지난 2009년과 이번 공격은 일단 규모에서 다르다. 지난 2009년에는 총 23개 사이트를 대상으로 약 12만대의 좀비PC가 공격을 퍼부은 것으로 나타났다. 하지만 이번 공격에는 40개 사이트를 대상으로 약 5만대의 좀비PC가 동원됐다.

초기에 전용 백신이 배포되는 등 대응 시스템이 효과적으로 작동해 큰 혼란이 없었다는 점도 지난 2009년과 다른 점이다. 방송통신위원회에 따르면 정부기관의 피해는 없었으며 민간 주요기관의 서비스도 장애가 없었던 것으로 파악됐다. 이는 안철수연구소와 한국인터넷진흥원 등 민관이 악성코드를 조기에 탐지하고 분석한 결과를 공유해 전용 백신을 보급하는 등 신속히 대응했기 때문이다.

방통위 관계자는 "지난 2009년 7.7 DDoS 이후 정부 및 민간기관에서 DDoS 대응 장비구축 및 확충, 대응 체계의 강화, 인력의 보강 등 많은 투자가 이뤄졌으며, 국민들의 사이버 보안에 대한 인식도 많이 제고됐다"고 말했다.

김철현 기자 kch@